Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Asignación de comandos AAA de OpenConfig a la operación de Junos

Nota:

Consulte el tema Versión del modelo de datos de OpenConfig para comprender la versión compatible con los modelos de datos y su versión de Junos OS para las series ACX, EX, MX, PTX y QFX de Juniper Networks.

En las siguientes tablas se muestra la asignación de configuraciones AAA de OpenConfig con la configuración relevante en Junos OS.

  • Tabla 1: Configuración AAA global
  • Tabla 2: Configuración del servidor RADIUS
  • Tabla 3: Configuración de eventos contables
  • Tabla 4: Configuración del método contable
  • Tabla 5: Configuración de roles de autorización
  • Tabla 6: Configuración de permisos de autorización: Configuración de permisos de autorización
  • Tabla 7: Configuración de permisos de autorización
  • Tabla 8: Políticas de autorización y configuración request-regex
  • Cuadro 9Cuadro 9: Configuración del servidor TACACS
  • Tabla 10: Configuración de administrador y usuario AAA
Tabla 1: Configuración AAA global

Nombre del comando

Ruta de comando OpenConfig

Configuración de Junos

Prefijo de ruta de comando:

/system/aaa

Nombre de configuración

/server-groups/server-group/config/name

No compatible

Nota:

No existe una configuración equivalente en Junos OS para esta ruta. El nombre del grupo de servidores configurado se utiliza en la configuración de atributos RADIUS/TACACS.

Dirección-configuración del servidor

/server-groups/server-group/servers/server/config/address

No compatible

Nota:

No existe una configuración equivalente en Junos OS para esta ruta. La dirección del servidor configurada se utiliza en la configuración de atributos RADIUS/TACACS.

nombre-configuración del servidor

/server-groups/server-group/servers/server/config/name

No compatible

Nota:

No existe una configuración equivalente en Junos OS para esta ruta. Puede configurar un nombre de servidor para identificar el servidor.

Tiempo de espera de configuración

/server-groups/server-group/servers/server/config/timeout

No compatible

Nota:

No existe una configuración equivalente en Junos OS para esta ruta. Sin embargo, el tiempo de espera configurado se deriva del timeout parámetro en Junos OS edit radius-server o edit tacplus-server en el nivel de jerarquía.

Tabla 2: Configuración del servidor RADIUS

Nombre del comando

Ruta de comando OpenConfig

Configuración de Junos

Prefijo de ruta de comando:

/system/aaa

Puerto de autenticación

/server-groups/server-group/servers/server/radius/config/auth-port

set system radius-server address port port

Nota:

El address valor se deriva del valor configurado después serverde . El port valor es el mismo que auth-port.

Intentos de retransmisión

/server-groups/server-group/servers/server/radius/config/retransmit-attempts

set system radius-server address retryretry

Nota:

El address valor se deriva del valor configurado después serverde . El retry valor es el mismo que el especificado para retransmit-attempts.

Clave secreta

/server-groups/server-group/servers/server/radius/config/secret-key

set system radius-server address secret secret

Nota:

El address valor se deriva del valor configurado después serverde . El secret valor es el mismo que el especificado para secret-key.

Dirección de origen

/server-groups/server-group/servers/server/radius/config/source-address

set system radius-server address source-address source-address

Nota:

El address valor se deriva del valor configurado después server. de El source-address valor es el mismo que el especificado para source-address.

Tabla 3: Configuración de eventos contables

Nombre del comando

Configuración de OpenConfig

Configuración de Junos

Evento

openconfig-system:system {
    aaa {
        accounting {
            events {
                event <event-type>{
                    config {
                        event-type <value>
                    }
                }
            }
        }
    }
}
system {
    accounting {
        events [ … ];
    }
}

La configuración de OpenConfig tiene dos valores para para event-type:

  • AAA_ACCOUNTING_EVENT que se asigna al tipo de evento Junos OS interactive-commands
  • AAA_ACCOUNTING_EVENT_LOGIN qué asignaciones a Junos OS incluso escriben login
Tabla 4: Configuración del método contable

Nombre del comando

Configuración de OpenConfig

Configuración de Junos

Método contable

openconfig-system:system {
    aaa {
        accounting {
            config {
                accounting-method [ … ];
            }
        }
    }
}
system {
    accounting {
       destination {
            radius / tacplus {
                server {
                    <name> secret <>;
                    <name> secret <>;
                }
            }
        }
    }
}

Los valores de OpenConfig para accounting-method son TACACS_ALL, RADIUS_ALL, abd LOCAL. La configuración de OpenConfig accounting-method en combinación con la server-groups configuración genera la jerarquía /system/accounting/destinationde Junos.

Tabla 5: Configuración de roles de autorización

Nombre del comando

Configuración de OpenConfig

Configuración de Junos

Papeles

openconfig-system:system {
    aaa {
        authorization {
            roles {
                role <rolename> {
                         ………
                         ……….
                    }
                }
        }
    }
}
system {
    login {
        class <name> {
            …..
            …..
        }
    }
}

La asignación definida por el usuario de role OpenConfig al parámetro Junos login classes .

Tabla 6: Configuración de permisos de autorización

Nombre del comando

Configuración de OpenConfig

Configuración de Junos

Permisos

openconfig-system:system {
    aaa {
        authorization {
            roles {
                role <rolename> {
                  permissions [ …  ]; 
                }
        }
    
system {
    login {
        class <name> {
             permissions [ …  ];
        }
    }
}

OpenConfig definido por permissions el usuario es una lista de hojas y se asigna al parámetro de lista permissions de hojas de Junos.

Los posibles valores de OpenConfig para permissions y sus valores correspondientes de Junos son:

    
OpenConfig                               Junos
ADMIN                                    admin
ADMIN CONTROL                            admin-control
ALL                                      all
MAINTENANCE                              maintenance
VIEW                                     view
VIEW_CONFIG                              view-configuration 
Tabla 7: Configuración de permisos de autorización

Nombre del comando

Configuración de OpenConfig

Configuración de Junos

Permisos

openconfig-system:system {
    aaa {
        authorization {
            roles {
                role foo {
                    config {
                        policies {
                               policy PERMIT REQUEST_RPC {
                                    request-regex /gnmi.gNMI/Set;
                               }
                            }
                        }
                    }
                }
        }
    }
}
system {
    login {
        class foo {
            allow-grpc-rpc-regexps /gnmi.gNMI/Set;
        }
    }
}
Tabla 8: Políticas de autorización y configuración request-regex

Nombre del comando

Configuración de OpenConfig

Configuración de Junos

Políticas

openconfig-system:system {
    aaa {
        authorization {
            roles {
                role foo {
                    config {
                        policies {
                            policy <action> <request-type> {
                                request-regex [ … ];
                            }
                        }
                    }
                }
        }
    }
}
system {
    login {
        class foo {
            deny-commands-regexps [ … ];
                    OR
            allow-commands-regexps [ … ];
                   OR
            deny-configuration-regexps [ … ];
                   OR
            allow-configuration-regexps [ … ];
                   OR
            deny-grpc-rpc-regexps [ … ];
                   OR
            allow-grpc-rpc-regexps [ … ];
        }
    }
}

La configuración de OpenConfig policies se traduce en diferentes parámetros de permitir y negar (*regexps). Posibles valores de OpenConfig para action, request-typey request-regex se traducen a los siguientes parámetros de configuración de Junos:

    
action          request-type            OpenConfig request-regex translates to:
 
PERMIT          REQUEST_CONFIG          allow-configuration-regexps
DENY            REQUEST_CONFIG          deny-configuration-regexps

PERMIT          REQUEST_RPC             allow-grpc-rpc-regexps
DENY            REQUEST_RPC             deny-grpc-rpc-regexps

PERMIT          REQUEST_COMMAND         allow-commands-regexps 
DENY            REQUEST_COMMAND         deny-commands-regexps 

Ejemplo

openconfig-system:system {
    aaa {
        authorization {
          roles {
              role foo {
                  config {
                      rolename foo;
                      policies {
                          policy DENY REQUEST_COMMAND {
                          request-regex [ "clear interfaces" "show interfaces" ];
                          }
                      }
                  }
              }
          }
      }
   }
}
system {
    login {
        class foo {
            deny-commands-regexps [ "clear interfaces" "show interfaces" ];
        }
    }
}

Ejemplo

openconfig-system:system {
    aaa {
        authorization {
            roles {
                role foo {
                    config {
                        policies {
                               policy PERMIT REQUEST_RPC {
                                    request-regex /gnmi.gNMI/Set;
                               }
                            }
                        }
                    }
                }
        }
    }
}
system {
    login {
        class foo {
            allow-grpc-rpc-regexps /gnmi.gNMI/Set;
        }
    }
}
Tabla 9: Configuración del servidor TACACS

Nombre del comando

Ruta de comando OpenConfig

Configuración de Junos

Prefijo de ruta de comando:

/system/aaa

Config-Port

/server-groups/server-group/servers/server/tacacs/config/port

set system tacplus-server address port port

Nota:

El address valor se deriva del valor configurado después server. de El port valor es el mismo que el especificado para port.

Clave secreta

/server-groups/server-group/servers/server/tacacs/config/secret-key

set system tacplus-server address secret secret

Nota:

El address valor se deriva del valor configurado después serverde . El secret valor es el mismo que el especificado para secret-key.

Dirección de origen

/server-groups/server-group/servers/server/tacacs/config/source-address

set system tacplus-server address source-address source-address

Nota:

El address valor se deriva del valor configurado después serverde . El source-address valor es el mismo que el especificado para source-address.

Tabla 10: Configuración de administrador y usuario AAA

Nombre del comando

Ruta de comando OpenConfig

Configuración de Junos

Prefijo de ruta de comando:

/system/aaa

Admin-Password

/authentication/admin-user/config/admin-password

set system root-authentication plain-text-password

Nota:

El plain-text-password-authentication valor se deriva del valor configurado para admin-password.

Admin-Password-Hashed

/authentication/admin-user/config/admin-password-hashed

set system root-authentication encrypted-password encrypted-password

Nota:

El encrypted-password valor se deriva del valor configurado para admin-password-hashed.

Método de autenticación

/authentication/config/authentication-method

set system authentication-order

Nota:

El authentication-order valor se deriva del valor configurado para authentication-method.

Contraseña

/authentication/users/user/config/password

set system login user user-name authentication plain-text-password plain-text-password

Nota:

El user-name valor se deriva del valor configurado para user. El plain-text-password valor se deriva del valor configurado para password.

Hash de contraseña

/authentication/users/user/config/password-hashed

set system login user user-name authentication encrypted-password encrypted-password

Nota:

El user-name valor se deriva del valor configurado para user. El encrypted-password valor se deriva del valor configurado para password-hashed.

Papel

/authentication/users/user/config/role

set system login user user-name class class

Nota:

El user-name valor se deriva del valor configurado para user. El class valor se deriva del valor configurado para role.

Nombre de usuario

/authentication/users/user/config/username

No compatible

Nota:

No hay ninguna configuración equivalente en Junos OS.